Ga naar inhoud
Blog

Beheer uw MikroTik met SSTP efficiënt en veilig

Samenvatting
SSTP tunnelet VPN-verkeer binnen HTTPS (poort 443), waardoor externe toegang tot MikroTik mogelijk is, zelfs achter strenge firewalls en proxies. Deze handleiding toont installatie van RouterOS server en client, NAT-voorbeelden, beveiligingstips en wanneer SSTP de juiste keuze is.

Extern MikroTik beheer met SSTP

SSTP (Secure Socket Tunneling Protocol) verbergt een VPN binnen HTTPS.

Het werkt via poort 443 en mengt zich met normaal webverkeer.

Dat maakt het ideaal als netwerken traditionele VPN-poorten blokkeren.

Dit artikel geeft een beknopte, praktijkgerichte SSTP-gids voor MikroTik RouterOS.

Wat is SSTP?

SSTP tunnelet PPP (Point-to-Point Protocol) binnen een TLS/HTTPS-sessie.

Het gebruikt TLS voor encryptie en authenticatie.

Vanuit netwerkoogpunt is SSTP bijna niet te onderscheiden van gewone HTTPS.

Daarom werkt het probleemloos door bedrijfsproxies en CGNAT.

Hoe SSTP werkt — korte workflow

  1. Client opent een TLS (HTTPS) verbinding met de server op poort 443.
  2. Server toont zijn TLS-certificaat.
  3. Een PPP-sessie wordt opgezet binnen de TLS-tunnel.
  4. Verkeer wordt end-to-end versleuteld (AES-256 bij juiste configuratie).

Eenvoudig. Betrouwbaar. Moeilijk te blokkeren.

Opmerking: Omdat SSTP HTTPS gebruikt, staat het in veel beperkende netwerken wel toe terwijl andere VPN’s geblokkeerd worden.

Voordelen en beperkingen

Voordelen

  • Werkt vrijwel overal — inclusief firewalls en proxies.
  • Gebruikt poort 443 (HTTPS) die meestal openstaat.
  • Sterke TLS-encryptie (met moderne RouterOS/TLS-instellingen).
  • Native ondersteuning in Windows en RouterOS.
  • Flexibele authenticatie: gebruiker/wachtwoord, certificaten of RADIUS.

Beperkingen

  • Hogere CPU-belasting dan lichte VPN’s (TLS overhead).
  • Prestaties meestal lager dan WireGuard.
  • Vereist geldig SSL-certificaat voor optimale werking.

Waarschuwing: Oudere TLS/SSL-versies zijn onveilig. Houd RouterOS up-to-date en schakel verouderde TLS/SSL uit.

Server: SSTP instellen op een MikroTik

Hieronder minimale RouterOS-commando’s voor SSTP-server aanmaak.

  1. Maak een certificaat aan of importeer deze
/certificate add name=srv-cert common-name=vpn.yourdomain.com key-usage=key-cert-sign,crl-sign
/certificate sign srv-cert ca-cert=srv-cert
/certificate set srv-cert trusted=yes
  1. Maak een PPP-profiel
/ppp profile add name=srv-profile local-address=10.10.10.1 remote-address=10.10.10.2
  1. Voeg een gebruiker (secret) toe
/ppp secret add name="usuario" password="senha123" profile=srv-profile service=sstp
  1. Activeer de SSTP-server
/interface sstp-server server set enabled=yes certificate=srv-cert authentication=mschap2 default-profile=srv-profile

De router luistert nu op poort 443 en accepteert SSTP-verbindingen.

Tip: Gebruik een certificaat van Let’s Encrypt of uw CA — zelfondertekende certificaten werken voor tests, maar veroorzaken waarschuwingen bij clients.

Client: SSTP instellen op een externe MikroTik

Voeg op het externe apparaat een SSTP-client toe die terugverbindt met het hoofdkantoor.

/interface sstp-client add name=sstp-to-hq connect-to=vpn.yourdomain.com \
    user="usuario" password="senha123" profile=default-encryption add-default-route=no


/interface sstp-client print

Verwachte statusoutput:

status: connected
uptime: 00:02:15
encoding: AES256-CBC/SHA1

Opmerking: De encryptielijn toont de onderhandelde cipher. Moderne RouterOS versies ondersteunen sterkere ciphers — controleer uw release notes.

Toegang tot interne host via tunnel

Hebt u toegang nodig tot een apparaat achter de remote MikroTik (bijv. 192.168.88.100), gebruik dan dst-nat en poortmapping.

/ip firewall nat add chain=dstnat protocol=tcp dst-port=8081 \
    action=dst-nat to-addresses=192.168.88.100 to-ports=80

Vanaf het hoofdkantoor of een client verbindt u via het SSTP tunnel-endpoint en gemapte poort:

https://vpn.yourdomain.com:8081

Het verkeer stroomt door de HTTPS-tunnel en bereikt de interne host.

Beveiliging en best practices

  • Gebruik geldige, vertrouwde TLS-certificaten.
  • Geef voorkeur aan certificaat- of RADIUS-authenticatie boven simpele wachtwoorden.
  • Beperk indien mogelijk toegestane bron-IP’s.
  • Houd RouterOS up-to-date voor moderne TLS-stacks.
  • Schakel oude SSL/TLS-versies en zwakke ciphers uit.
  • Monitor verbindingslogs en ververs periodiek credentials.

Tip: Authenticatie met certificaten is voor veel apparaten overzichtelijker en veiliger dan gedeelde wachtwoorden.

Alternatief: SSTP-server op een VPS

U kunt een SSTP hub hosten op een VPS in plaats van een MikroTik.

Opties:

  • Windows Server (native SSTP-ondersteuning).
  • SoftEther VPN (multi-protocol, ondersteunt SSTP op Linux).

SoftEther is handig als protocolbrug. Hiermee communiceren MikroTik en Windows clients met dezelfde hub zonder openbare IP’s op elke locatie.

Snelle vergelijking

OplossingPoortBeveiligingCompatibiliteitPrestatiesIdeaal voor
SSTP443Hoog (TLS)MikroTik, WindowsGemiddeldNetwerken met strenge firewalls
OpenVPN1194/UDPHoog (TLS)BreedGemiddeldLegacy/mix omgevingen
WireGuard51820/UDPZeer hoogModerne apparatenHoogModerne netwerken, hoge prestaties
Tailscale/ZeroTierdynamischZeer hoogMulti-platformHoogSnelle mesh toegang, teams

Wanneer SSTP kiezen

Kies SSTP als u een VPN nodig hebt die:

  • Moet werken via bedrijfsproxies of strikte NAT.
  • Gemakkelijk integreert met Windows clients.
  • Poort 443 moet gebruiken om blokkades te vermijden.

Als u snelheid en minimale CPU-belasting belangrijk vindt, is WireGuard een betere keuze.

Waar MKController helpt: Voelt certificaat- en tunnelconfiguratie als gedoe? MKController’s NATCloud biedt gecentraliseerde externe toegang en monitoring — geen manuele PKI per apparaat en eenvoudiger onboarding.

Conclusie

SSTP is een praktische oplossing voor moeilijk bereikbare netwerken.

Het maakt gebruik van HTTPS om verbonden te blijven waar andere VPN’s falen.

Met een paar RouterOS-commando’s stelt u betrouwbare externe toegang in voor filialen, servers en gebruikersapparaten.

Over MKController

Hopelijk hebben de bovenstaande inzichten u geholpen uw MikroTik en internetomgeving beter te beheren! 🚀
Of u nu instellingen verfijnt of simpelweg de netwerkwirwar ordent, MKController maakt uw werk eenvoudiger.

Met gecentraliseerd cloudbeheer, geautomatiseerde beveiligingsupdates en een dashboard dat iedereen aankan, hebben wij wat nodig is om uw operatie te upgraden.

👉 Begin nu uw gratis proefperiode van 3 dagen op mkcontroller.com — en ervaar moeiteloze netwerkcontrole.